Уровни критичности уязвимостей: что это такое, как они влияют на безопасность ПО

Большинство приложений содержит уязвимости, которые снижают уровень безопасности ПО и могут стать входными точками для хакерских атак. Чтобы защитить программы и конфиденциальную информацию, необходимо правильно оценить риски. Один из ключевых факторов оценки — уровни критичности уязвимостей. В статье рассказываем, что это такое, с помощью каких методов их определить.

Что такое уязвимости, как они влияют на безопасность ПО

Начнем с понятия уязвимости. Это слабое место, создающее потенциальную угрозу безопасности ПО. Уязвимостью можно считать ошибку в коде, некорректно работающую функцию, неправильную конфигурацию и т.д.

Разработчики стремятся обнаружить и устранить максимум уязвимостей еще на этапе создания программных продуктов. Такой подход значительно повышает уровень безопасности ПО, но не гарантирует, что слабые места не появятся позже, уже после ввода приложений в эксплуатацию. Часто подобное происходит, если вовремя не выпущены или не установлены обновленные версии программного обеспечения.

Что такое уровни критичности уязвимости

Уровни критичности уязвимости — степень серьезности проблем безопасности с учетом потенциальных рисков. Выделяют четыре основных уровня:

Критический. Сюда относятся уязвимости, которые активно применяются злоумышленниками для атак на операционные системы, получения несанкционированного доступа к конфиденциальной информации. Эксплуатация таких брешей безопасности грозит серьезными негативными последствиями для компаний, использующих уязвимое ПО.
Высокий. Такая оценка уровня критичности уязвимости говорит о том, что проблема ПО несет существенную угрозу конфиденциальности, целостности и доступности информации.
Средний. Этот уровень присваивается уязвимостям, эксплуатация которых может привести к серьезному ущербу, однако использовать их для атаки достаточно сложно.
Низкий. Уровень присваивается брешам безопасности, эксплуатация которых маловероятна, либо нанесет незначительный ущерб.

Наиболее распространенные уязвимости описаны в перечне OWASP Top 10. Например, это инъекции, проблемы с механизмами аутентификации, межсайтовый скриптинг XSS, небезопасные конфигурации, слабая защита критичных данных, отсутствие контроля доступа и др. Хакеры обнаруживают уязвимости с помощью специальных сканеров, выбирают вектор атаки и начинают действовать. Злоумышленную активность не всегда удается распознать и вовремя предотвратить, поэтому лучше принять превентивные меры — регулярно проверять уровень безопасности ПО и использовать эффективные методики оценки уровня критичности уязвимостей. Контроль должен присутствовать как на этапе разработки, так и после ввода программ в эксплуатацию.

Оценка уровня критичности уязвимостей

Оценка уровня критичности уязвимостей необходима для того, чтобы принять решение, какие бреши безопасности следует устранять в первую очередь. Исходные данные для определения степени серьезности обнаруженных проблем:

Общедоступные базы уязвимостей ПО, сведения об актуальных киберугрозах на российском рынке.
Информационные ресурсы, опубликованные разработчиками ПО и специалистами по ИБ.
Сведения об архитектуре программного решения, полученные в ходе инвентаризации.

Стандартный процесс оценки уровня критичности уязвимостей:

Тестирование кода с помощью специальных анализаторов с целью обнаружения и идентификации уязвимостей.
Определение уровня критичности уязвимостей с применением различных метрик.
Создание отчетов с перечнем обнаруженных брешей безопасностей с указанием уровней критичности.

Методика оценки уровня критичности уязвимостей предполагает использование базовых, временных и контекстных метрик. Базовые характеризуют бреши безопасности с точки зрения постоянного влияния на три ключевых фактора — целостность, доступность и конфиденциальность данных. Временные метрики отражают особенности уязвимостей, не зависящие от среды функционирования ПО и меняющиеся в определенные периоды времени. Контекстные учитывают характеристики, которые имеют отношение к конкретной рабочей среде, где развернуто программное обеспечение.

Оценку уровня критичности уязвимостей обычно проводят специалисты по ИБ, отвечающие за сохранение конфиденциальности данных. Это могут быть штатные сотрудники или сторонние эксперты с достаточными компетенциями для подобной работы.

Технологии и инструменты для выявления уязвимостей

Чтобы провести оценку уровня критичности уязвимостей, сначала необходимо обнаружить эти уязвимости. Контролировать безопасность ПО следует уже на этапе разработки, внедряя принципы подхода Security Software Development Life Cycle (SSDLC), предполагающего раннюю интеграцию тестирований.

Чтобы упростить процесс поиска брешей безопасности, можно применять специальные анализаторы для автоматизации анализа ПО, например, отечественное решение Solar appScreener. В нем реализованы модули для следующих видов тестирований:

Static Application Security Testing (SAST) — анализа исходного кода ПО, применяемого уже с начальных этапов разработки. Тестирование обеспечивает практически полное покрытие кода, позволяет найти уязвимости и логические ошибки. Запускать программу для анализа не требуется. Если нет доступа к исходному коду, благодаря Solar appScreener можно исследовать бинарный — будет достаточно ссылки на приложение.
Dynamic Application Security Testing (DAST) без доступа к коду — динамического тестирования ПО, развернутого в имитированной рабочей среде. Анализатор будет отправлять на вход заведомо ложные данные, чтобы проверить, как программа будет себя проявлять. Это тестирование позволяет обнаружить уязвимости, которые становятся видимыми только при эксплуатации.
Software Composition Analysis (SCA) — исследования состава программного продукта с целью поиска заведомо уязвимых Open source-компонентов, программных закладок в общедоступных библиотеках, устаревших и несовместимых лицензий. Дополнительно с помощью Solar appScreener можно провести анализ лицензионных рисков, чтобы в дальнейшем избежать юридических проблем.
Supply Chain Security (SCS) — анализа для контроля безопасности цепочки поставок, представляющей собой весь путь ПО с начала процесса разработки до доставки продукта потребителю.

Solar appScreener не только обнаруживает уязвимости с помощью перечисленных методов анализа, но и выполняет автоматическую оценку уровня критичности уязвимостей. Из отчетов, сгенерированных платформой, будет понятно, какие проблемы несут серьезные риски и должны быть немедленно устранены.

ЗАКЛЮЧЕНИЕ

Чтобы повысить уровень безопасности ПО, необходимо регулярно проводить проверки на наличие слабых мест и корректно с помощью эффективных методик определять уровни критичности обнаруженных уязвимостей. В этом случае можно получить представление, какие угрозы сейчас актуальны и что предпринять для минимизации рисков. Задачу по поиску брешей безопасности ПО и оценке уровней критичности уязвимостей упростит анализатор Solar appScreener, где реализованы инструменты для внедрения статического и динамического тестирований, анализа состава программ, прогнозирования лицензионных рисков и вероятности атак на цепочку поставок. По результатам платформа формирует отчеты с указанием обнаруженных проблем и степени их критичности.